Captain Kirk

Beste Fritz the Fox, Aangezien je al een tijdje niet meer gereageerd hebt ga ik er van uit dat je probleem dankzij de hulp van kweezie wabbit is opgelost. Daarom sluit ik het topic. Is je probleem er nog steeds en wil je het weer open hebben, stuur dan even een berichtje.

Onderzoekers waarschuwen voor een phishingmail waarbij aanvallers een XPS-bestand gebruiken om het Microsoft-wachtwoord van de ontvanger te stelen. De e-mail gaat over een betaling en bevat een XPS-bestand. XPS staat voor XML Paper Specification en is Microsofts tegenhanger van pdf. Zodra gebruikers het bestand openen krijgen ze de tekst te zien dat het om een beveiligd document gaat dat via een apart icoon in het document te openen is. Dit document wijst naar een phishingsite waar de gebruiker met zijn Microsoft-wachtwoord moet inloggen. Zodra de gebruiker dit doet kan de aanvaller op het account inloggen en meer phishingmails versturen. Volgens Lorna Hutcheson, handler bij het Internet Storm Center, worden XPS-bestanden niet vaak gebruikt bij phishingaanvallen en komen gebruikers ze ook niet vaak tegen. Daarnaast staan ze waarschijnlijk niet op de blacklist van de meeste e-mailgateways. Organisaties die geen gebruik van XPS-bestanden maken krijgen dan ook het advies die op de gateway te blokkeren. "Dit is ook een goed voorbeeld van hoe belangrijk het is om je werknemers te trainen om alert te zijn op onverwachte e-mails en niet zomaar op alles te klikken", aldus Hutcheson. bron: security.nl

Onderzoekers hoeven niet langer meer de Control Flow Guard (CFG) beveiligingsfeature in Windows 10 te onderzoeken, aangezien de beperkingen bij Microsoft bekend zijn, zo laat de softwaregigant weten. CFG is een beveiligingsmaatregel in Windows 10 die het kapen van code door aanvallers moet voorkomen en veel bekende aanvalstechnieken op deze manier weet te dwarsbomen. CFG was een onderdeel van het beloningsprogramma van Microsoft. Onderzoekers die de beveiligingsfeatures van Windows weten te omzeilen kunnen dit aan Microsoft melden en worden hiervoor beloond. CFG was volgens de softwaregigant een zeer populair doel voor beveiligingsonderzoekers. "Dankzij dit onderzoek hebben we veel geleerd over de verschillende bugs en ontwerpbeperkingen van CFG", zegt Microsofts Joe Bialek. Inmiddels is er echter genoeg over de beperkingen van CFG bekend en heeft Microsoft besloten om het uit het beloningsprogramma voor onderzoekers te halen. "We denken dat we genoeg weten over de beperkingen van CFG en het dreigingsmodel waar we het ontwerp voor moeten aanpassen", gaat Bialek verder. Hij stelt dat aanvullend onderzoek naar het omzeilen van CFG geen zin heeft totdat de nu bekende beperkingen zijn verholpen. Ook wil Microsoft dat onderzoekers zich op andere onderdelen gaan richten. Hoewel er geen beloningen voor CFG meer worden uitgekeerd is Microsoft niet van plan om de beveiligingsfeature uit Windows 10 te verwijderen. Nadat de tekortkomingen zijn verholpen is de softwaregigant van plan om CFG weer aan het programma toe te voegen. bron: security.nl

ProtonVPN gaat in meer landen servers neerzetten waar gebruikers uit kunnen kiezen, zo heeft de vpn-dienst bij het eenjarig bestaan laten weten. Op dit moment heeft de vpn-dienst meer dan honderd servers in vijftien landen staan. Tegen het einde van het jaar zal het om twintig landen gaan. Het aantal gebruikers is inmiddels de 500.000 gepasseerd. ProtonVPN is ontwikkeld door hetzelfde team van wetenschappers dat eerder de versleutelde e-maildienst ProtonMail lanceerde. De vpn-dienst kent zowel een gratis als betaalde optie. Gratis gebruikers kunnen kiezen uit servers in Japan, Nederland en de Verenigde Staten. Betalende gebruikers hebben keuze uit meer landen. ProtonVPN stelt dat deze betalende gebruikers het mogelijk maken om een gratis vpn-dienst aan te bieden die de privacy van gebruikers niet misbruikt. Via een virtual private network (vpn) is het mogelijk om het internetverkeer via een versleutelde tunnel naar een andere computer te laten lopen. Het wordt gebruikt om verkeer op bijvoorbeeld open wifi-netwerken te beschermen, censuur te omzeilen en het browsegedrag voor de eigen internetprovider af te schermen. De vpn-dienst heeft zelfs een speciale uitleg online staan om Netflix te kijken en het WK-voetbal te volgen. bron: security.nl

Aanvallers hebben een manier ontdekt om het phishingfilter van Microsoft te omzeilen. De e-mails worden voorzien van verborgen woorden die een fontgrootte van nul hebben. Daardoor zijn ze niet zichtbaar voor de ontvanger van de e-mail, maar kunnen ze wel het Microsoft-filter misleiden. Microsoft past "natuurlijke taalverwerking" toe om te kijken of de inhoud van een e-mail frauduleus is. Wanneer er bijvoorbeeld "Copyright 2018 Apple Corporation. All rights reserved" onderaan het bericht staat en de e-mail is niet van Apple afkomstig, wordt de e-mail als frauduleus bestempeld. Via natuurlijke taalverwerking wordt de context en bedoeling van de e-mail geïnterpreteerd en vervolgens gecorreleerd met de afzender. Door de fontgrootte te manipuleren is het mogelijk om het filter andere woorden te laten "lezen" dan de ontvanger van het bericht. Microsofts filter leest namelijk de platte tekst van een bericht, terwijl de gebruiker de html-versie te zien krijgt. Volgens securitybedrijf Avanan wordt de tactiek inmiddels door phishingmails gebruikt. In onderstaande afbeelding is de tekst te zien die de gebruiker krijgt voorgeschoteld en de html-versie die door het filter wordt verwerkt. bron: security.nl

De nieuwe Europese privacywetgeving AVG zal browser fingerprinting niet snel laten verdwijnen, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Browser fingerprinting is een techniek waarmee trackers en advertentienetwerken internetgebruikers zonder het gebruik van cookies en ip-adressen kunnen volgen. Via http-headers die de browser verstuurt en JavaScript is het mogelijk om allerlei variabelen te achterhalen, zoals taalinstelling, tijdszone, besturingssysteem, schermresolutie en geïnstalleerde fonts en plug-ins. Uit eerdere onderzoeken blijkt dat internetgebruikers op basis van hun unieke browser fingerprint zijn te identificeren. Onder de AVG zijn websites verplicht om het gebruik van browser fingerprinting aan gebruikers te melden en hier toestemming voor te vragen. Pas dan kan de techniek worden toegepast. "Aangezien het doel van fingerprinting is om niet door de gebruiker te worden opgemerkt is het niet verrassend dat trackers deze standaard niet toepassen", aldus Bill Budington van de EFF. "Aan de hand van de manier waarop fingerprinting tot nu toe is ingezet, is het lastig voor te stellen dat bedrijven van opzettelijke obscuriteit naar volledige transparantie en open communicatie met gebruikers gaan." Het heimelijk uitvoeren van browser fingerprinting kan grote kosten voor bedrijven met zich meebrengen, aangezien er hoge straffen staan op het overtreden van de AVG. "Maar dat is alleen in theorie. We verwachten niet dat de AVG fingerprinting snel zal laten verdwijnen, net zoals de Europese ePrivacy verordening niet voor het einde van trackingcookies heeft gezorgd", stel Budington. Hij verwacht dat niet-Europese websites er mogelijk voor zullen kiezen om de Europese privacywetgeving te negeren in de hoop dat ze de gevolgen kunnen ontsnappen. Voordat de AVG dan ook resultaten zal opleveren moeten browserontwikkelaars, standaardenorganisaties, privacyvoorstanders en technologen blijven samenwerken om de hoeveelheid informatie te beperken die derde partijen via de browser van gebruikers kunnen achterhalen, aldus de EFF. bron: security.nl

De ontwikkelaar van de encryptiesoftware VeraCrypt zoekt hulp om volledige schijfversleuteling van Windows-systemen mogelijk te maken. VeraCrypt is een opensource-encryptieprogramma voor Windows, macOS en Linux, gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. De software maakt het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. Een probleem op nieuwere Windows-systemen waar Secure Boot standaard staat ingeschakeld is dat volledige schijfversleuteling niet wordt ondersteund. Secure Boot is een beveiligingsstandaard die ervoor zorgt dat een computer bij het opstarten alleen maar software laadt die wordt vertrouwd door de fabrikant. Microsoft en sommige computerfabrikanten vereisen dat bij het opstarten van de computer hun eigen certificaat wordt geladen, aangezien ze hun eigen EFI-drivers tijdens het opstarten draaien. Zonder het certificaat worden de drivers niet vertrouwd en zal de machine niet starten. Om de VeraCrypt-bootloader met Secure Boot te laten werken moeten de VeraCrypt-sleutels in de firmware geladen worden, waarvoor een script is ontwikkeld. Het script blijkt op sommige computers niet te werken, aangezien alleen het VeraCrypt-certificaat en twee certificaten van Microsoft en sommige computerfabrikanten worden geladen. Om dit probleem te verhelpen vraagt VeraCrypt-ontwikkelaar Mounir Idrassi dat computergebruikers het certificaat van hun computer opsturen, zodat het in VeraCrypt kan worden verwerkt. Van hoe meer fabrikanten de certificaten beschikbaar zijn, des te groter de kans dat de software straks op meer computers met Secure Boot werkt. Hiervoor heeft Idrassi een tool gemaakt die de EFI-variabele van de firmware uitleest en verschillende bestanden en mappen met de firmwarecertificaten aanmaakt. Vervolgens kunnen gebruikers deze bestanden naar het VeraCrypt-forum uploaden. Sinds de oproep heeft Idrassi bestanden van zo'n 20 computers ontvangen en is er een bètaversie verschenen die de Secure Boot-sleutels van verschillende computerfabrikanten bevat. bron: security.nl

De makers van het besturingssysteem OpenBSD hebben besloten om hyperthreading standaard op systemen met een Intel-processor uit te schakelen, aangezien het een serieus beveiligingsrisico is. Dat laat Mark Kettenis van het OpenBSD-project op de OpenBSD-mailinglist weten. Simultaneous multithreading (SMT) is een techniek die de prestaties van moderne processors moet verbeteren. Het zorgt er onder andere voor dat cachegeheugen onder verschillende processor-threads wordt gedeeld. Dit maakt het volgens Kettenis veel eenvoudiger om cache timing-aanvallen uit te voeren en zou er ook voor zorgen dat verschillende Spectre-achtige kwetsbaarheden zijn aan te vallen. Het probleem speelt vooral bij Intels propriëtaire implementatie van SMT genaamd hyperthreading, aldus Kettenis. "We moeten geen verschillende beveiligingsdomeinen op verschillende processor-threads op dezelfde core draaien", zo laat hij weten. Het is echter lastig om dit binnen OpenBSD aan te passen. Daar komt bij dat moderne computers niet de mogelijkheid bieden om hyperthreading via het bios uit te schakelen en er dus geen manier is om het gebruik van extra processor-threads in de OpenBSD-scheduler uit te schakelen. "Aangezien we denken dat het om een serieus beveiligingsrisico gaat, hebben we ze nu standaard uitgeschakeld", gaat Kettenis verder. Gebruikers kunnen de optie wel weer inschakelen. Op dit moment geldt dit alleen voor OpenBSD-systemen met een Intel-processor, maar het ontwikkelteam is van plan om de feature ook voor processors van andere leveranciers en andere hardware-architecturen door te voeren. Kettenis merkt op dat SMT niet per definitie een positief effect op de prestaties hoeft te hebben. Dit hangt vooral van de werklast af. "Het is waarschijnlijker dat het de meeste werklasten zal vertragen als je een processor met meer dan twee cores hebt", aldus Kettenis. Op Hacker News is er inmiddels een uitgebreide discussie over de beslissing ontstaan. bron: security.nl

Registrars GoDaddy en Public Domain Registry (PDR) hebben 1000 malafide webshops offline gehaald. De Consumentenbond deed onderzoek naar webwinkels die zogenaamd met hoge kortingen merkkleding of luxe producten verkopen, maar in werkelijkheid nepproducten of soms zelfs helemaal niets leveren. In veel gevallen maken deze winkels gebruik van vrijgekomen domeinnamen. In totaal ontdekte de Consumentenbond 2000 verdachte websites. De overgrote meerderheid van de sites (92 procent) is geregistreerd via vier registrars. Het gaat om Public Domain Registry (PDR) uit India, het Amerikaanse GoDaddy, 1API uit Duitsland en het Nederlandse Registrar.eu. 1API en Openprovider (het bedrijf achter Registrar.eu) haalden eerder al 850 sites die bij hen geregistreerd stonden offline. Na overleg met GoDaddy en PDR zijn nu ook 1000 andere malafide webshops uit de lucht gehaald. Detectiesysteem De Stichting Internet Domeinregistratie Nederland (SIDN), beheerder van de .nl-domeinnamen, heeft aangegeven te werken aan een geautomatiseerd systeem waarbij ze malafide websites sneller en op grotere schaal kan opsporen en doorspelen aan de registrars om ze offline te laten halen. Dat moet criminelen ontmoedigen om voor een .nl-domein te kiezen. Volgens de SIDN gaat het om een relatief nieuwe detectiemethode. Tot voor kort werden malafide websites nog handmatig en op basis van meldingen door de stichting opgespoord . bron: security.nl

False positives, waarbij virusscanners schone bestanden als malware beschouwen, kunnen grote gevolgen voor ontwikkelaars, anti-virusbedrijven en eindgebruikers hebben. Aanleiding voor Googles VirusTotal om een nieuwe dienst te lanceren die false positives moet voorkomen. VirusTotal is een dienst van Google waar gebruikers verdachte bestanden door meer dan 70 anti-virusbedrijven kunnen laten scannen. De nu gelanceerde "VirusTotal Monitor" laat softwareontwikkelaars hun bestanden naar een private cloud binnen VirusTotal uploaden. Vervolgens worden de bestanden dagelijks door de meer dan 70 anti-virusbedrijven op VirusTotal gescand. De bestanden blijven hierbij privé en worden niet met derde partijen gedeeld. Alleen als een bestand als malware wordt beschouwd wordt die met het anti-virusbedrijf gedeeld dat de waarschuwing veroorzaakt. Zodra er een onterechte detectie plaatsvindt worden zowel de softwareontwikkelaar als het anti-virusbedrijf geïnformeerd. Het anti-virusbedrijf krijgt zo toegang tot het bestand en diens metadata, zoals het bedrijf achter het bestand en contactgegevens van de softwareontwikkelaar. Op deze manier kan het probleem snel worden verholpen. Het proces vindt geheel geautomatiseerd plaats, zodat softwareontwikkelaars niet met 70 verschillende anti-virusbedrijven hoeven te communiceren. Emiliano Martinez van VirusTotal stelt dat de nieuwe dienst geen vrijbrief is om elk bestand door virusscanners goedgekeurd te laten krijgen. "Soms zullen leveranciers inderdaad bepalen om detecties voor bepaalde software aan te houden. Door contextuele informatie over de ontwikkelaar te geven kunnen ze werk prioriteren wat hopelijk tot een wereld met minder false positives leidt", aldus Martinez. bron: security.nl

PayPal heeft een e-mail naar gebruikers gestuurd waarin wordt gevraagd om de browser voor 30 juni te updaten, omdat anders de website van de betaaldienst niet meer kan worden bezocht. Aanleiding voor de berichtgeving zijn nieuwe beveiligingsstandaarden van de Payment Card Industry Security Standards Council. Die stellen dat vanaf 30 juni ssl en oudere tls-versies niet meer mogen worden gebruikt voor het opzetten van een beveiligde verbinding tussen gebruikers en website. Websites die van PayPal gebruikmaken moeten hun PayPal-integratie naar tls versie 1.2 updaten. De standaarden hebben ook gevolgen voor internetgebruikers die via PayPal betalen. Die moeten namelijk naar een browser updaten die tls 1.2 ondersteunt. PayPal heeft inmiddels een uitleg online gezet hoe gebruikers via tlstest.paypal.com kunnen testen of hun browser met tls 1.2 werkt. Op Twitter klagen meerdere mensen over de e-mail van PayPal, aangezien hun browser up-to-date is maar ze nog steeds het bericht ontvingen. PayPal stelt dat het aan een oplossing werkt en mensen vanaf morgen alleen nog e-mails ontvangen als ze echt hun browser moeten updaten. bron: security.nl

Google Home en de Google Chromecast kunnen de locatiegegevens van gebruikers tot op een paar meter nauwkeurig lekken, zo heeft onderzoeker Craig Young van securitybedrijf Tripwire ontdekt. De apparaten zijn via de Home-app te configureren, die de meeste acties via de Google-cloud uitvoert. Voor sommige taken wordt echter een lokale http-server gebruikt. Commando's om bijvoorbeeld de naam en wifi-verbinding van het apparaat in te stellen worden zonder enige vorm van authenticatie naar het apparaat verstuurd. Hoewel Googles app stelt dat gebruikers op een Google-account moeten zijn ingelogd dat aan het apparaat is gekoppeld, ontbreekt er op protocolniveau een authenticatiemechanisme. Een aanvaller kan zo niet alleen het scherm kapen waarop de Chromecast of Google Home is aangesloten, maar ook allerlei gegevens achterhalen waarmee de fysieke locatie van de apparaten is te bepalen. Google beschikt over een uitgebreide database van allerlei wifi-netwerken wereldwijd die aan een fysieke locatie zijn gekoppeld. Door de signaalsterkte van wifi-netwerken in de buurt te analyseren kan Google trianguleren waar een gebruiker zich precies bevindt. Om de aanval uit te voeren en de gegevens van een Chromecast te achterhalen moet een aanvaller het doelwit eerst een link laten openen. Vervolgens moet de link een minuut in de browser van de gebruiker open blijven voordat de aanvaller de locatiegegevens kan achterhalen. Het is echter mogelijk om de kwaadaardige content in een advertentie of zelfs een tweet te verbergen. Google is van plan om halverwege volgende maand met een update te komen, zo meldt it-journalist Brian Krebs. In onderstaande video wordt de aanval gedemonstreerd. bron: security.nl

De meeste mensen hebben nog nooit de firmware van hun router geüpdatet, zo blijkt uit twee onderzoeken. Anti-virusbedrijf Avast deed een onderzoek onder Amerikaanse internetgebruikers. 72 procent van de deelnemers had nog nooit zijn firmware geüpdatet en 51 procent had nog nooit op de router ingelogd om het standaard ingestelde wachtwoord te wijzigen. De cijfers komen overeen met een onderzoek dat in april van dit jaar onder 2200 Britten werd uitgevoerd. Bij dit onderzoek had 86 procent nog nooit de firmware van zijn of haar router geüpdatet. Ook bleek dat 82 procent van de deelnemers nooit het beheerderswachtwoord had gewijzigd. Op de vraag waarom mensen de instellingen van hun router niet wijzigen stelt bijna de helft dat ze niet weten waarom ze dit moeten doen en 34 procent zegt niet te weten hoe het gedaan moet worden. bron: security.nl

Onderzoekers hebben een zogenaamde vpn-applicatie ontdekt die voornamelijk Windows 10-computers met hardnekkige adware infecteert. De adware, die over een rootkit-onderdeel beschikt, wordt Zacinlo genoemd (pdf). De infectie begint met de installatie van een vpn-applicatie genaamd S5Mark. Het zogenaamde vpn-programma laat gebruikers geloven dat er een vpn-verbinding is opgezet, terwijl dat helemaal niet het geval is. In werkelijkheid gaat het om een programma dat de Zacinlo-adware en bijbehorende rootkit downloadt. De rootkit is digitaal gesigneerd en kan op de meeste Windows-systemen worden geïnstalleerd, waaronder Windows 10. Volgens onderzoekers van anti-virusbedrijf Bitdefender zijn rootkits verantwoordelijk voor minder dan één procent van alle malware, en besloten ze daarom verder onderzoek in te stellen. Dat leidde tot de ontdekking van de Zacinlo-adware. Voor de installatie van de adware wordt de real-time monitoring van Windows Defender uitgeschakeld. Na de installatie van de adware wordt die weer ingeschakeld. Het rootkit-gedeelte van de adware kan processen stoppen die het als gevaarlijk voor de adware beschouwt. Ook zorgt het ervoor dat de adware niet kan worden gestopt of verwijderd. Tevens wordt er een nieuwe certificaatautoriteit in de browser van de gebruiker geïnstalleerd en beschikt de adware over een "man-in-the-browser" functionaliteit waarmee ssl-verbindingen kunnen worden onderschept en ontsleuteld. Hierdoor kan de adware JavaScript in de websites injecteren die de gebruiker bezoekt. Daarnaast kan de adware bezoekers naar andere pagina's doorsturen. Het uiteindelijke doel van de adware is het vervangen van advertenties en plegen van advertentiefraude. Besmette systemen lopen daarnaast risico om ook door andere malware te worden geïnfecteerd. De rootkit blokkeert namelijk ook de anti-malwaremodule van verschillende bekende virusscanners, waaronder die van Bitdefender, Malwarebytes, Symantec, Panda, HitmaPro, Avast, AVG, Microsoft en Kaspersky Lab. De meeste Zacinlo-infecties werden in de Verenigde Staten waargenomen, gevolgd door Brazilië, China, Duitsland en Frankrijk. Volgens Bitdefender gaat het voornamelijk om Windows 10-computers. Negentig procent van alle besmette systemen draait namelijk op deze Windows-versie. bron: security.nl

Anti-virusbedrijf F-Secure heeft securitybedrijf MWR InfoSecurity voor een bedrag van ruim 91 miljoen euro overgenomen. MWR InfoSecurity, dat bijna 400 medewerkers heeft, biedt allerlei beveiligingsoplossingen en advies en houdt zich bezig met onderzoek. Onderzoekers van het bedrijf wisten de afgelopen jaren tijdens de internationale Pwn2Own-hackwedstrijd meerdere keren zeroday-lekken in veelgebruikte applicaties te demonstreren. Zo lieten de onderzoekers tijdens de editie van dit jaar nog een succesvolle aanval op de Safari-browser zien. F-Secure is van plan om de technologie van MWR InfoSecurity aan de eigen producten toe te voegen. Het gaat dan met name om het "threat hunting platform" waarmee aanvallen zijn te detecteren. bron: security.nl

Een modemrouter van fabrikant D-Link is het doelwit van een Internet of Things-botnet dat kwetsbare apparaten onder andere inzet voor ddos-aanvallen en cryptomining. Het gaat om de D-Link DSL-2750B, die ook in Nederland wordt verkocht. Eind mei verscheen er op internet een exploit waarmee de modemrouters op afstand zijn over te nemen. De exploit wordt nu door het Satori-botnet gebruikt voor het infecteren van kwetsbare apparaten. Dat laat securitybedrijf 360 Netlab weten. De kwetsbaarheid waar de exploit gebruik van maakt heeft geen CVE-nummer. Via een CVE-nummer kan een kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. Door het ontbreken ervan is onduidelijk of de kwetsbaarheid door D-Link is gepatcht. Wanneer een aanval op de genoemde D-Link-modemrouter succesvol is wordt het besmette apparaat gebruikt om naar andere kwetsbare apparaten te zoeken. Volgens de onderzoekers verspreidt de malware zich dan ook als een worm. Satori is een variant van de beruchte Mirai-malware en probeert onder andere routers en ip-camera's te infecteren. bron: security.nl

Onderzoekers hebben een manier ontdekt om op een vergrendelde computer met de Windows 10 Anniversary Update de inhoud van het clipboard uit te lezen. Vorig jaar demonstreerde onderzoeker Oddvar Moe hoe het mogelijk is om via het vergrendelscherm de inhoud van het clipboard weer te geven. Dit kon via het veld waar het wifi-wachtwoord moet worden ingevoerd. Door hier de "plakken" actie uit te voeren werd de inhoud van het clipboard in het wachtwoorveld geplaatst en kon vervolgens zichtbaar worden gemaakt. Inmiddels werkt deze methode niet meer en is ook de plakken-functie op het vergrendelscherm geblokkeerd. Onderzoekers van anti-virusbedrijf McAfee ontdekten echter een methode om deze beperking te omzeilen. Via het softwarematige keyboard en de combinatie CTRL + SHIFT + INSERT kan alsnog de inhoud van het clipboard in het inlogvenster worden weergegeven. De onderzoekers kijken nu hoe deze techniek is te gebruiken om toegang tot willekeurige content te krijgen. De nu gedemonstreerde aanval werkt alleen tegen de Windows 10 Anniversary Update. Deze Windows 10-versie wordt inmiddels niet meer door Microsoft ondersteund. bron: security.nl

Alweer voor de zesde keer hebben de FBI en het ministerie van Binnenlandse Veiligheid een waarschuwing afgegeven voor malware die volgens de Amerikaanse autoriteiten door de Noord-Koreaanse overheid is ingezet. Het gaat om een Trojaans paard genaamd "TYPEFRAME". De malware wordt onder andere via Microsoft Word-documenten met kwaadaardige macro's verspreid. Zodra gebruikers er zelf voor kiezen om de macro's in het document uit te voeren wordt de malware geïnstalleerd. Het nu gepubliceerde Malware Analysis Report bevat omschrijvingen van 11 malware-exemplaren die als backdoor, remote access Trojan en proxy fungeren. In de waarschuwing geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen. Ook geeft de FBI advies om infectie door de malware te voorkomen, zoals het updaten van anti-virussoftware en besturingssysteem, het uitschakelen van bestands- en printerdeling, het beperken van de rechten van gebruikers, het afdwingen van veilige wachtwoorden, voorzichtig zijn met e-mailbijlagen, het inschakelen van een personal firewall, het monitoren van het browsegedrag van gebruikers, het scannen van alle gedownloade bestanden en voorzichtig zijn in het gebruik van verwijderbare media. In november en december vorig jaar, alsmede in februari, maart en mei van dit jaar, publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware". bron: security.nl

Op 30 april lanceerde Microsoft de April 2018 Update voor Windows 10 die allerlei beveiligingsverbeteringen en nieuwe privacyinstellingen introduceert, maar de meeste Windows 10-computers hebben de feature-update nog niet geïnstalleerd. Dat zal uiteindelijk wel moeten als deze gebruikers nog beveiligingsupdates willen blijven ontvangen. Volgens Microsoft zijn er inmiddels zo'n 700 miljoen maandelijks actieve Windows 10-systemen. Daarvan hebben 250 miljoen de April 2018 Update geïnstalleerd. Hoewel de meeste Windows 10-computers de update nog missen, verloopt de uitrol sneller dan bij vorige grote feature-updates het geval was. Twee keer per jaar brengt Microsoft een grote feature-update voor Windows 10 uit die allerlei nieuwe features en beveiligingsverbeteringen aan het besturingssysteem toevoegt. Deze feature-updates worden 18 maanden vanaf de lancering ondersteund. Daarna moeten gebruikers naar een volgende feature-update upgraden als ze nog beveiligingsupdates willen blijven ontvangen. Volgens Microsoft is een up-to-date computer niet alleen veiliger, maar zorgt de April 2018 Update ook voor een stabieler systeem. bron: security.nl

Systeembeheerders die Chrome binnen hun organisatie uitrollen en beheren moeten een aantal zaken weten, zo stelt Google. Chrome ondersteunt inmiddels meer dan 300 beleidsopties voor het beheren en beveiligen van de browser op de systemen van medewerkers. Met de lancering van Chrome 66 is het nu mogelijk om gebruikers een melding te laten zien dat ze hun browser opnieuw moeten starten om de installatie van beveiligingsupdates af te ronden. Zo kan er worden gekozen om een herstart te adviseren of te verplichten. Ook kan een herstart na een bepaald aantal dagen worden afgedwongen. Tevens kunnen beheerders bepaalde extensies black- of whitelisten. Verder wijst Google op het verplicht inloggen op een Google-account om Chrome te gebruiken. Systeembeheerders kunnen bepalen of ze beleid op apparaatniveau willen instellen of door de gebruiker laten beheren. Als een gebruiker niet op zijn Google-account is ingelogd, kan bepaald beleid niet worden gehandhaafd, aldus Google. Zo is er het Forced Sign-In-beleid dat gebruikers dwingt om op hun Google-account in te loggen voordat ze Chrome kunnen gebruiken. Op deze manier zijn bepaalde beleidsopties op gebruikersniveau te beheren, zoals het in- of uitschakelen van een wachtwoordmanager of het beheren van verouderde plug-ins. bron: security.nl

Internet Explorer en Flash Player zijn nog het enige doelwit van exploitkits die gebruikers met ongepatchte versies van de software met malware proberen te infecteren. Dat laat anti-malwarebedrijf Malwarebytes weten. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. Alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende. Exploitkits waren jarenlang het favoriete middel van cybercriminelen om internetgebruikers met malware te infecteren. Al enige tijd laat het gebruik van exploitkits een neerwaartse trend zien. Dit komt mede door het dalende aantal IE-gebruikers en het toenemende gebruik van modernere browsers. Op dit moment zijn er vier exploitkits effectief, namelijk RIG, GrandSoft, Magnitude en GF Sundown, zo stelt onderzoeker Jerome Segura. De exploitkits maken bij elkaar opgeteld slechts gebruik van drie kwetsbaarheden. Het gaat om twee lekken in Internet Explorer en een kwetsbaarheid in Adobe Flash Player. De IE-lekken werden op 10 mei 2016 en 8 mei 2018 door Microsoft gepatcht, terwijl het Flash Player-lek sinds 6 februari 2018 is gepatcht. Beide kwetsbaarheden uit 2018 waren bij zeroday-aanvallen ingezet. Volgens Segura heeft dit exploitkits een opkikker gegeven. Zo is het de verwachting dat een begin juni gepatcht zeroday-lek in Flash Player ook aan exploitkits zal worden toegevoegd. Gebruikers krijgen dan ook het advies om beveiligingsupdates zo snel als mogelijk te installeren, aangezien dit bescherming tegen de exploitkits biedt. bron: security.nl

Intel heeft een waarschuwing afgegeven voor een kwetsbaarheid in Intel Core-processors waardoor een aanvaller toegang tot gevoelige informatie kan krijgen. Net als bij de Spectre- en Meltdown-aanvallen gaat het om een "speculative execution side channel" aanval, die "Lazy FP state restore" wordt genoemd. Het probleem is aanwezig in de processor zelf en raakt daardoor alle platformen die op een Intel Core-processor draaien en van "Lazy FPU switching" gebruikmaken, zo stellen de onderzoeker van Cyberus Technology die de kwetsbaarheid ontdekten. Interne geheugenregisters in processors slaan gegevens op over de staat van elke applicatie. De staat van een applicatie moet worden opgeslagen en hersteld wanneer er van de ene naar de andere applicatie wordt omgeschakeld, wat rekenkracht kost. Om prestaties te verbeteren wordt Lazy FPU switching gebruikt om de opslag of het herstel van een FPU-staat alleen uit te voeren wanneer dit absoluut noodzakelijk is. Een kwetsbaarheid in de Intel-processors maakt het mogelijk voor een ander proces om toegang tot de staat van een ander proces te krijgen, waardoor er gevoelige informatie kan lekken. Zo kan er toegang tot de inhoud van FPU/MMX/SSE/AVX-registers worden verkregen. "Dit is een groot probleem omdat AES-encryptiesleutels bijna altijd in de SSE-registers staan", zegt computerwetenschapper Colin Percival. De informatie uit de registers kan langs "proces- en virtual machine grenzen" lekken, aldus de onderzoekers die het probleem vonden. Om misbruik van de kwetsbaarheid te maken moet een aanvaller al toegang tot een systeem hebben. Dit kan echter een probleem zijn in bijvoorbeeld shared hosting-omgevingen. Amazon meldt in een advisory dat de eigen infrastructuur niet kwetsbaar is en klanten niet de geheugenstaat van andere klanten kunnen uitlezen. Tegenover The Register verklaart Intel dat Lazy FP state restore gelijk is aan het Spectre NG-lek dat onlangs werd onthuld en al jaren geleden in besturingssystemen en hypervisorsoftware is verholpen. Intel zou nu met industriepartners samenwerken om het probleem in de resterende omgevingen te verhelpen en in de komende weken zouden hiervoor updates moeten verschijnen. Zo zal Red Hat binnenkort met updates voor Red Hat Enterprise Linux 5 en 6 komen en staan er ook updates van Microsoft in de planning. bron: security.nl

De makers van Adblock Plus, de populairste browserextensie van het moment, hebben een nieuwe extensie gelanceerd die fake news op het web moet tegengaan. Trusted News, zoals de extensie heet, geeft de betrouwbaarheid van bezochte websites weer. Hiervoor wordt gebruik gemaakt van de database van MetaCert. Ontwikkelaar Eyeo stelt dat de extensie nadrukkelijk rekening houdt met de privacy van gebruikers. De beoordeling van een website wordt lokaal op het systeem opgezocht en de extensie slaat geen enkele informatie over gebruikers op. Om ervoor te zorgen dat de beoordeling van websites actueel blijft wordt er eens per dag een nieuw overzicht van beoordeelde websites gedownload. Op dit moment bevindt de extensie zich nog in de betafase en werkt alleen in Engelstalige landen. Wanneer gebruikers het niet eens zijn met de beoordeling van een website kunnen ze hierop reageren. "We proberen geen politiek statement te maken of je gedrag te veranderen. We zoeken naar nieuwe manieren om je kritisch te laten nadenken over de websites die je bezoekt", zegt Tom Woolford van Eyeo. De extensie is alleen beschikbaar voor Google Chrome. bron: security.nl

Microsoft heeft criteria voor het patchen van beveiligingslekken gepubliceerd zodat onderzoekers weten waar ze aan toe zijn als ze een kwetsbaarheid bij de softwaregigant melden. Volgens Microsoft willen beveiligingsonderzoekers meer duidelijkheid of een gemelde kwetsbaarheid zal worden gepatcht. De nu gepubliceerde "Security Servicing Commitments" moeten hiervoor zorgen (pdf). Het document stelt dat er twee vragen centraal staan bij de beslissing om een beveiligingsupdate te ontwikkelen. De eerste is of de kwetsbaarheid een belofte van een beveiligingsgrens of beveiligingsfeature van Microsoft schendt. Ten tweede wordt gekeken of het beveiligingslek dusdanig ernstig is dat het in aanmerking voor een update komt. Wanneer het antwoord op beide vragen "ja" is, zal de kwetsbaarheid een update ontvangen. Het document laat verder zien welke beveiligingsgrenzen en beveiligingsfeatures in de producten van Microsoft aanwezig zijn en hoe de ernst van een beveiligingslek wordt bepaald. Daarin laat Microsoft weten dat als een beveiligingslek als Ernstig of Belangrijk is beoordeeld en het betrekking heeft op een beveiligingsgrens of beveiligingsfeature, de kwetsbaarheid via een beveiligingsupdate zal worden verholpen. Ernstige beveiligingslekken zijn kwetsbaarheden waardoor een aanvaller zonder interactie van gebruikers op afstand code op het systeem kan uitvoeren. bron: security.nl

Een beveiligingslek in Microsofts spraakassistent Cortana maakte het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde Windows-computer om op het systeem in te loggen. Cortana kan, wanneer ingeschakeld, ook vanaf een vergrendelde computer worden aangeroepen. Via de spraakassistent is het daarnaast mogelijk om toegang tot een contextueel menu te krijgen. Via dit menu kan er bijvoorbeeld naar bestanden worden gezocht, maar is het ook mogelijk om bijvoorbeeld malware of kwaadaardige scripts op het systeem te plaatsen. Onderzoeker Cedric Cochin van anti-virusbedrijf McAfee ontdekte dat het via Cortana en het contextuele menu ook mogelijk is om het Windows-wachtwoord te resetten en vervolgens toegang tot het systeem te krijgen. Hiervoor maakte de onderzoeker een speciaal script. Het script moet echter nog worden uitgevoerd. De aanvaller kan hiervoor Cortana aanroepen en zo toegang tot het contextuele menu krijgen. Vervolgens kan via het contextuele menu het script voor het resetten van het wachtwoord worden uitgevoerd, zoals Cochin in onderstaande video demonstreert. Microsoft heeft de kwetsbaarheid verholpen, maar volgens de onderzoeker is het verstandig om Cortana op het vergrendelscherm uit te schakelen. bron: security.nl